Representación estilizada de unos y ceros en una pantalla de computadora.

Los piratas informáticos de una de las agencias de espionaje más elitistas y descaradas de Rusia han infectado dispositivos de red en hogares y pequeñas oficinas de todo el mundo con un malware previamente desconocido que convierte los dispositivos en plataformas de ataque capaces de robar datos confidenciales y atacar otras redes.

Cyclops Blink, como se conoce al malware avanzado, ha infectado alrededor del 1 por ciento de los dispositivos de firewall de red del fabricante de equipos de red WatchGuard, dijo la compañía el miércoles. El malware puede secuestrar un mecanismo de actualización de firmware legítimo que se encuentra en los dispositivos infectados de una manera que lo hace persistente, lo que significa que el malware sobrevive a los reinicios.

Como VPNFilter, pero más sigiloso

Cyclops Blink existe desde hace casi tres años y reemplazó a VPNFilter, el malware que los investigadores encontraron en 2018 para infectar alrededor de 500 000 enrutadores en hogares y pequeñas oficinas. VPNFilter contenía una verdadera navaja suiza que permitía a los piratas informáticos robar o manipular el tráfico y monitorear algunos protocolos SCADA utilizados por los sistemas de control industrial. El Departamento de Justicia de EE. UU. vinculó los ataques a la Dirección Principal de Inteligencia del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa, comúnmente abreviada como GRU.

Después de que se expusiera VPNFilter, los piratas informáticos de Sandworm crearon nuevo malware para infectar los dispositivos de red. Al igual que su predecesor, Cyclops Blink tiene todas las características de un firmware desarrollado profesionalmente, pero también tiene nuevos trucos que lo hacen más sigiloso y más difícil de eliminar.

«El malware en sí es sofisticado y modular con una funcionalidad central básica para enviar información del dispositivo a un servidor y permitir que los archivos se descarguen y ejecuten», escribieron los funcionarios del Centro Nacional de Seguridad Cibernética del Reino Unido en un aviso. «También hay una funcionalidad para agregar nuevos módulos mientras se ejecuta el malware, lo que permite a Sandworm implementar funcionalidades adicionales según sea necesario».

Retención de WatchGuard como rehén

Hasta ahora, dice el aviso, Sandworm ha utilizado «principalmente» el malware para infectar los dispositivos de red de WatchGuard, pero es probable que los piratas informáticos también puedan compilarlo para ejecutarlo en otras plataformas. El malware gana persistencia en los dispositivos WatchGuard al abusar del proceso legítimo que utilizan los dispositivos para obtener actualizaciones de firmware.

El malware comienza copiando imágenes de firmware almacenadas en el dispositivo y modificándolas para incluir funciones maliciosas. Cyclops Blink luego manipula un valor HMAC que se usa para probar criptográficamente que la imagen es legítima para que los dispositivos puedan ejecutarla. El proceso se ve así:

El malware contiene una clave pública RSA codificada que se usa para las comunicaciones C2, así como una clave privada RSA codificada y un certificado X.509. Pero no parecen ser utilizados activamente en las muestras analizadas por los funcionarios británicos, lo que hace posible que estén destinados a ser utilizados por un módulo separado.

Cyclops Blink utiliza la biblioteca criptográfica OpenSSL para cifrar las comunicaciones bajo el cifrado proporcionado por TLS.

La consulta del miércoles dice:

Cada vez que el malware dispara balizas, selecciona aleatoriamente un objetivo de la lista actual de direcciones IPv4 del servidor C2 y la lista codificada de puertos C2. Las balizas consisten en mensajes en cola que contienen datos de módulos en ejecución. Cada mensaje se cifra individualmente mediante AES-256-CBC. La función OpenSSL_EVP_SealInit se usa para generar aleatoriamente la clave de cifrado y el IV para cada mensaje y luego cifrarlos con la clave pública RSA codificada. La función OpenSSL_RSA_public_decrypt se usa para descifrar tareas recibidas en respuesta a balizas usando la clave pública codificada de RSA.

Otras nuevas medidas de sigilo incluyen el uso de la red de privacidad Tor para ocultar las direcciones IP utilizadas por el malware. Los funcionarios británicos escribieron:

Los dispositivos de la víctima están organizados en grupos y cada implementación de Cyclops Blink tiene una lista de direcciones IP de comando y control (C2) y puertos utilizados (T1008). Todas las direcciones IP C2 conocidas hasta la fecha han sido utilizadas por dispositivos de firewall WatchGuard comprometidos. La comunicación entre los clientes y servidores de Cyclops Blink está protegida por Transport Layer Security (TLS) (T1071.001) utilizando claves y certificados generados individualmente. Sandworm administra Cyclops Blink conectándose a la capa C2 a través de la red Tor:

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí